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PROCEDE POUR LA MISE EN (EUVRE SECURISEE D'UN ALGORITHME 
DE CRYPTOGRAPHIE DE TYPE RSA ET COMPOSANT CORRESPONDANT 

La presente invention se rapporte a un procede 
pour la itiise en ceuvfe s^curisee d'un algorithme de 
cryptographie dans un composant .electronique et, plus 
particuli^rement, pour la raise en oeuvre securis6e d'un 
5 algorithme de cryptographie de type RSA. 

L' invention concerne fegalement le composant 
electronique correspondant . 

De tels composants sont notamment utilises dans 
des applications ou I'acces k des services ou A des 
10 donn§es est severement contrdle. 

lis ont une architecture dite logicielle/ c'est-»ar 
dire programmable formee autour d'un microprocfesseur et 
de memoires, dont une memoire programme non volatile de 
type EEPROM qui contient un ou plusieurs nombres 
15 secrets- II s'agit d'une architecture generaliste apte 
a executer n^ importe quel algorithme. 

Ces composants sont utilises dans des systemes 
inf ormatiques, embarqu6s ou non. lis sont , notamment 
utilises dans les cartes a puce^ pour certaines 
20 applications de celles-ci. Ce sont par exemple des 
applications d' acces ^ certaines banques de donnees, 
des applications bancaires, des applications de 
t61epeage, par exemple pour la television, la 

25 distribution d' essence ou encore le passage de p6ages 
d' autoroutes . 

( 
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Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie pour assurer le 
chiffrement de donn^es 6mises et/ou le d^chif f rement de 
donnees reQues, 1' authentif ication ou la signature 
5 numerique d'un message. 

A partir de ce message applique en entr§e a la 
carte par un systeme h6te (serveur, distributeur 
bancaire...) et de nombres secrets contenus dans la 
carte, la carte fournit en retour au systdme hdte ce 

10 message chiffr4, authentifie ou sign6, ce qui permet 
par example au systeme bote d' authentif ier le composant 
ou la carte, d'echanger des donn§es... 

Les caracteristiques des algorithmes de 
cryptographie peuvent §tre connues : calculs effectu6s, 

15 parametres utilises. La seule inconnue est le ou les 
nombres secrets. Toute la s6curit6 de ces algorithmes 
de cryptographie tient dans ce(s) nombre(s) secret (s) 
contenu(s) dans la carte et inconnu(s) du monde 
ext6rieur ^ la carte. Ce nombre secret ne peut #tre 

20 d6duit de la seule connaissance du message applique en 
entree et du message chiffr6 fourni en reto^j:. 

Or, il est apparu que des attaques externes bashes 
sur des grandeurs physiques mesurables k I'ext^rieur du 
composant lorsque celui-ci est en train de d6rouler 

25 1' algorithme de cryptographie, permettent a des tiers 
mal intentionnes de trouver le(s) nombre (s) secret (s) 
contenu{s) dans cette carte. Ces attaques sont appel6es 
attaques k canaux caches (« Side channel attacks » en 
anglais) ; on distingue parmi ces attaques a canaux 

30 caches, les attaques SPA, acronyme anglo-saxon pour 
Single Power Analysis bas6es sur une voire quelques 



mesures et les attaques DPA^ acronyms anglo-saxon pour 
Differential Power Analysis basees sur des analyses 
statistiques issues de nombreuses mesures. Le principe 
de ces attaques A canaux caches repose par exemple sur 
le fait que la consommation en courant du 
microprocesseur executant .des instructions varie selon 
1' instruction ou la donnee manipulee. 

II existe 6galement un type d'attaque, dite 
« attaque par faute Dans ce type d'attaque, 

I'attaquant injecte une faute quelconque pendant le 
calcul d'un algorithme cryptographique, dans le but 
d' exploiter la presence de cette faute pour extraire 
une information secrete . 

La faute peut aussi provenir d'une erreur d^ 
calcul due au materiel mettant en ceuvre 1' algorithme 
cryptographique. On consid^re nfeanmoins, dans un cas 
comme dans 1' autre, qu'il s'agit d'une attaque par 
faute, ; 

Ces differents types d' attaque sont notamment 
envisageables avec les algorithmes de cryptographie ^ 
cl6 publique comme par exemple 1' algorithme RSA (du nom 
' de ses auteurs Rivest, Shamir, Adleman) , qui est celui 
le plus utilise en cryptographie dans ce domaine 
d^ application;. et auquel la pr6sente invention 
s' applique plus particulierement . 

On rappelle ci-apres brievement les principales 
caracteristiques du systeme cryptographique a cle 
publique RSA. 

La premiere realisation de schema de chiffrement 
et de signature a cle publique fut mise au point en 
1977 par Rivest, Shamir et Adleman, qui 'ont invente le 
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systems cryptographique RSA. La securite de RSA repose 
sur la difficult^ de factoriser un grand nombre qui est 
le produit de deux nombres premiers. Ce systeme est le 
systdme cryptographique a cle publique le plus utilise. 
5 II peut etre utilise comme proc6de de chiffrement ou 
comme proc6d6 de signature. 

Le principe du systems cryptographique RSA est le 
suivant. II consiste d' abord a g^nerer la paire de cles 
RSA. 

1^ Ainsi^ chaque utilisateur cree une cle publique 

RSA et une cle priv^e correspondante^ suivant le 
precede suivant en 5 Stapes : 

1) Generer deux nombres premiers distincts p et q; 

2) Calculer n=pq et ^ (n) = (p-1) (q-l) , * etant appelee 
15 la fonction indicatrice d'Euler; 

3) Selectionner un entier e, l<e<0(n) ^ tel que 
pgcd(er<£>(n) aleatoirement ou au choix de 
I'utilisateur qui pourrait done choisir e petit tel que 
e = ou e =^ 3 ou e ^ 17 ; 

20 4) Calculer 1' unique entier d, l<d<0(n), tel que : 
e.d=l modulo <I>(n) ; (1) 
5) La cl6 publique est {n,e); la cle privee est d ou 
(d,p,q) . 

Les entiers e et d sont appeles respectivement 
25 exposant public et exposant privS. L' entier n est 
appele le module RSA. 

Une fois les parametres publics et prives definis, 
etant donne avec 0<x<n, 1' operation publique sur x 

qui peut etre par exemple le chiffrement du message x 
30 consiste ^ calculer : y = x® modulo n (2) 
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Dans ce cas, 1' operation privee correspondante est 
1' operation de d§chif f rement du message chiffr6 et 
cofisiste ^ calculer : 

y*^ modulo n (3) 
5 L' operation publique sur x peut encore Stre la 

verification de la signature. et consiste a 

calculer : y = x® modulo n (2) 

L'' operation privee correspondante est alors la 
generation d'' une signature x • ^ partir du message 
10 prealablement encode y par application d'une fonction 
de hachage \i ("padding" selon la terminologie anglo- 
saxonne) , et consiste ^ calculer : 

y** modulo n (3) 
Avec x== y** modulo n puisque e.d = 1 modulo <E>(n) . t 
15 On va presenter un autre mode de f onctionnement 

dit mode CRT car base sur le th^oreme des restes 
chinois (« Chinese Remainder Therorem » ou CRT en 
anglais) et quatre fois plus rapide que celui de 
I'algorithme RSA standard. Selon ce mode CRT, on 
20 n'^effectue pas directement les calculs modulo n mais on 
effectue d' abord les calculs modulo p et modulo q, 

Les parametres publics sont (n, e) mais les 
parametres prives sont dans ce mode (p, q, d) ou {pr q^ 
dp/ dq, iq) avec 
25 dp = d modulo (p-1), dq = d modulo (q-1) 
et iq = q***^ modulo p 

Par la relation (1), on obtient, : 

edp == 1 modulo(p-l) et edq 1 modulo(q-l) (4) 
L'' operation publique s' effectue de la meme fagon 
30 que pour le mode de f onctionnement standard. Par 
centre, pour 1' operation privee, on calcuie d*" abord : 
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Xp= y'^P modulo p et Xq= y**'' modulo q 
Ensuite, par application du theordme des restes 
chinois, on obtient x = y** modulo n par : 

X = CRT(Xp, Xq)= Xg + q[iq(xp_xq) modulo p] (5) 

5 

One orientation importante dans le domaine de la 
cryptographie a cl6 publique utilisant le schema de 
chiffrement RSA consiste done a s^curiser la mise en 
oeuvre des algorithmes RSA contre les differents types 

10 d'attaques possibles 6voqu6s plus haut, notamment les 
attaques a canaux caches telles que les attaques DPA et 
SPA, ainsi que les attaques dites par faute oil 
I'attaquant, par une m6thode quelconque, injecte une 
faute pendant le calcul d'une operation priv6e de 

15 I'algorithme RSA, dans le but d'obtenir une valeur 
corrompue ^ partir de laquelle il est possible, dans 
certains cas, de d6duire certaines donn^es secretes. 

Dans l'6tat de la technique, certains proc6d6s de 
contre-mesure ont 6t6 envisages pour parer ces 

20 diff§rents types d' attaques. 

Notamment, une contre-mesure possible pour parer 
les attaques de type DPA (et SPA) contre le RSA en mode 
standard consiste k rendre alSatoire le calcul de 
1' operation privSe du RSA (signature ou dechif f rement) 

25 en introduisant dans le calcul une valeur aleatoire. 

Ainsi, une methode de contre-mesure de ce type 
consiste ^ calculer 1' operation privee en mode standard 
(3) X = y** modulo n de la fagon suivante : 

X = y**""^ .y"^ modulo n, avec r 6tant un nombre 

30 entier aleatoire. Toutefois, 1' inconvenient de cette 



m^thode de contre-mesure est que le temps de calcul est 
doubl6. 

Une autre methode de contre-mesure de ce type 
pour parer les attaques DPA (et SPA) contre le RSA en 
mode standard consiste a calculer I'' operation priv6e 
(3) X - modulo n de la fagon suivante : 

.X = y<^+i^-*(i^)> modulo n^ avec r un entier 
al6atoire- Cependant^ un inconvenient de cette methode 
est qu' elle requiert la connaissance de la valeur de 
<l>(n), qui est gen^ralement inconnue par I'algorithme de 
cryptographie qui met en cBuvre 1' operation priv6e 
(signature ou d^chif f rement) . 

Aussi, une variante de cette mSthode est propos6e^ 
bas6e non plus sur la connaissance de la valeur de 
*(n) mais sur celle de la valeur de I'exposant public 
e. En effet, on a d'apres (1) : e.d = 1 modulo <I>{n)., 
aussi/ il existe un entier k tel que : e,d-l = k, ^(n)-;- 

En consequence^ I'expression x ^ y<<i+r.4>(n)) modulo -n 
peut se calculer sous la forme : 

X = y(d+r.(ed-i)) modulo . n, avec r un entier 
aleatoire. 

Cette m6thode de contre-mesure est done 
calculatoirement equivalente a celle dont elle decoule, 
avec I'avantage cependant de ne pas necessiter la 
connaissance de la valeur de 0(n). Elle requiert moins 
de m^moire en ce sens qu'elle ne necessite pas de 
garder <I) (n) . 

Toutefois, cette variante de contre-mesure, pour 
pouvoir &tre mise. en ceuvre, n6cessite d' avoir la 
connaissance de la valeur de I'exposant public e. Or, 
dans de nombreuses applications de cryt^tographie, le 
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composant ou le dispositif mettant en ceuvre 1' operation 
privee de I'algorithme RSA ne dispose pas tou jours de 
I'exposant public e, notamment lorsqu'il n'ex6cute que 
1' operation priv6e, L'exposant public e est done dans 
5 ce contexte gen^ralement inconnu ou indisponible . 

Les contre-mesures decrites precedemment sent 
principalement destinees a parer les attaques de type 
DPA. Cependant^ elles rendent egalement plus diff idles 
les attaques de type SPA dans la mesure oH 1' execution 

10 de l^algorithme est non-deterministe . 

Pour ce qui est de 1' autre type d' attaque qui a 
ete evoque, dite attaque par faute, la meilleure 
protection possible pour la parer consiste ^ tester, en 
mode standard, que la valeur x obtenue par application 

15 de 1' operation priv6e v^rifie ef f ectivement la relation 
X® = y modulo n de 1' operation publique. Si ce n'est pas 
le cas, on ne retournera pas la valeur y pour eviter 
son utilisation a des fins de cryptanalyse . 

En mode CRT, la protection consiste a verifier 

20 d'une part, si eff ectivement les relations 
X® = y modulo p et, d' autre part, x® = y modulo q sont 
v6rif i6es . 

En effet, lorsque ces relations sont verifiees, on 
est assure qu' il n' y a pas eu d'erreurs pendant le 
25 deroulement de 1^ operation privee de 1' algorithms RSA. 

Toutefois, un inconvenient empechant la mise en 
oeuvre de telles verifications contre les attaques par 
faute, en mode standard ou en mode CRT, est que ces 
operations de verification necessitent egalement la 
30 connaissance prealable de i'exposant piublic e. Or, 
comme d6j^ vu, le composant ou le dispositif mettant en 



oeuvre 1' operation priv6e de I'algorithme RSA, en mode 
standard ou CRT, ne dispose pas tou jours de 1^ exposant 
public e, notaitanent lorsqu' il n'' execute que 1' operation 
privee. exposant public e est done dans ce contexte 
generalement inconnu ou indisponible . 

Le document de brevet FR 2 830 146 (Dl) propose a 
cet effet un precede permettant de realiser certaines 
etapes d'un algorithme de cryptographies et notamment 
de type RSA en mode standard ou CRT, utilisant un 
exposant public e que I'on ne connalt pas a priori. 

Le proofed^ objet de Dl permet en particulier de 
realiser une contre-mesure, notamment aux attaques par 
faute, qui offre la meilleure protection possible telle 
qu'6voqu6e ci-dessus, m§me lorsqu'on ne connalt pas 
l^exposant public e* 

Pour ce faire, soit (e, d) une paire 
correspondante d'exposants RSA respectivement public /et 
prive et soit n le module RSA. Dl part de la 
constatation suivante selon laquelle dans 95% des qas, 
la valeur de l^exposant public e est choisie parmi les 
valeurs 2^^+l, 3, 17. La m^thode de Dl, exposee 
brievement ici en reference au mode standard, mais qui 
peut tout autant s'appliquer au mode CRT, consiste 
alors a verifier que e est bien egal a une de ces 
valeurs en testant successivement si ei.d = 1 modulo 
0(n), avec ei e E = {2^^+l, 3, 17), jusqu'a ce que la 
relation soit verifiee. 

Lorsque la relation est verifiee pour un ei, alors 
on salt que e=ei. 'Une fois la valeur de l^exposant 
public e determinee de cette fagon, e est m6moris6e en 
vue de son utilisation dans des calculs de 1' algorithme 
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RSA visant a verifier qu'il n'y a pas eu d'erreurs, 
dues a une attaque par faute, pendant le d^roulement 
d'une operation priv6e correspondante de I'algorithme 
RSA. Ainsi, connaissant e, il est possible d'af firmer 
avec une probabilite 6gale a 1 que 1' operation priv6e 
se rapportant par exemple ^ la generation d'une 
signature s, avec s = y{m)'* modulo n, y (m) etant la 
valeur obtenue par 1' application d'une fonction ]i de 
padding au message m a signer, a 6te effectu^e sans 
erreur en v^rifiant simplement que la valeur s obtenue 
verifie la relation s* = p (m) modulo n de 1' operation 
publique correspondante. 

Si aucune valeur de ei n'a pu etre attribute ^ e, 
il convient alors de constater selon Dl que les calculs 
de I'algorithme RSA utilisant la valeur e pour la 
s6curisation centre les attaques par faute ne peuvent 
§tre effectu6s. 

Cependant, un inconvenient de la m^thode propos6e 
par Dl est qu'elle implique d'executer une plurality de 
calculs modulaires lorsqu'on teste successivement si la 
relation eid = 1 modulo 0{n) est v^rifiee, pour une 
valeur de ei parmi les ei envisages. Or les calculs 
modulaires sont des calculs complexes. Cette m^thode se 
r6v61e done p6nalisante en terme de temps de calcul et 
25 de ressources de calcul. 

Aussi, le probl^me qui se pose est de pallier les 
inconvenients pr6cit6s. 

Plus particulierement, un but de la pr6sente 
invention consiste a determiner d'une fagon qui ne soit 
pas p6nalisante en terme de rapidity et de complexite 
de calcul, la valeur d'un exposant public e parmi un 
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ensemble de valeurs probables pr6determinees, lorsque 
I'on ne connait pas cette valeur de e a priori,. 
I'exposant e 6tant mis en oeuvre dans certaines Stapes 
d'un algorithme de cryptographie de type RSA en mode 

5 standard ou CRT. 

Un autre but consiste done a pouvoir mettre en 
oeuvre^ une fois la valeur de. I'exposant public e 
determinee, des operations de contre-mesure utilisant 
la valeur de I'exposant public e, visant a parer d'une 

10 part, les attaques dites attaques par faute et, d' autre 
part, les attaques dites ci canaux caches, notamment de 
type DPA et SPA, susceptibles d'etre conduites lors de 
la mise en ceuvre d'une operation priv6e d'un algorithme 
de cryptographie, notamment de type RSA. 

15 Avec ces objectifs en vue, 1 'invention concerne un 

prbc§d6 pour la mise en ceuvre s6curis§e d'un algorithme 
de cryptographie h cl6 publique, ladite cl6 publlque 
Stant composes d^un nombre entier n, produit de devix 
grands noiabres premiers p et g, et d'un exposant public 

20 e, ledit proc6de consist ant k detejcminer un ensemble E 
comprenant un nombre pr6d6termin6 de valeurs ei 
- susceptibles de correspondre a la valeur de I'exposant 
public e, les e± etant des nombres premiersr caracterise 
en ce qu'il comprend les 6tapes suivantes consistant a: 



telle que C/e^ soit inferieur a ^(n) pour tout e± 
appartenant a O etant la fonction indicatrice 

d^Euler; 



25 




ei € E 
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b) appliquer la valeur e dans un calcul 
predetermine; 

c) pour chacun des ei de E, tester si le r6sultat 
dudit calcul predetermine est egal k une valeur e/ei: 

- si c'est le cas^ alors attribuer la valeur ei a e 
et m^moriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 

sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur 
e ne peuvent Stre effectues. 
L'avantage est done clairement que I'on n*ait plus 
qu'une seule multiplication modulaire. 

Dans une premiere variante, 1' algorithme de 
cryptographie est bas6 sur un algorithme de type RSA en 
mode .standard. 

En rapport avec cette premiere variante, le calcul 
predetermine de l'6tape b) consiste a calculer une 
valeur C : 

C = e.d modulo ^(n), d 6tant la cle privee 
correspondante de 1' algorithme RSA telle que 
e.d = 1 modulo <&(n) et a> etant la fonction indicatrice 
d^Euler. 

Selon une alternative, le calcul predetermine de 
I'etape b) consiste a calculer une valeur C : 

C = e.d modulo A(n), d etant la cie privee 
correspondante de 1' algorithme RSA telle que 
e.d - 1 modulo X(n) et K etant la fonction de 
Carmichael . 
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Dans une seconde variante, I'aLgorithme de 
cryptographie est bas6 sur un algorithnie de type RSA en 
mode CRT. 

En liaison avec cette seconde variante^ le calcul 
5 predetermine de I'etape b) consiste a calculer une 
valeur C : 

C = e.dp modulo (p~l),, dp etant la cle privee 
correspondante de I'algorithme RSA telle que 
e.dp = 1 modulo (p-1) . 
10 Selon une alternative, le calcul predetermine de 

I'etape b) consiste a calculer une valeur C : 

C = e.dq modulo (q-1) r dg etant la cle priv6e 
correspondante de , 1 " algorithme RSA telle que 
e.dq = 1 modulo (q-1). 
15 Selon une autre alternative, le calcul 

predetermine de I'etape b) consiste a calculer deux 
valeurs Ci et C2 telles que : 

Ci = e.dp modulo (p-1)/ dp etant la cie privee 
correspondante de I'algorithme RSA . telle ..que 
20 e.dp = 1 modulo (p-1), 

C2 e.dq modulo (q-1), dq etant la cle priv6e 
' correspondante de I'algorithme RSA telle que 
e.dq = 1 modulo (q~l) , 

et en ce que I'etape de test c) consiste pour 
25 chaque ei, a tester si Ci et/ou C2 est egal a la valeur 
e/ei: 

- si c'est le cas, alors attribuer la valeur ei a e 
et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 
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sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 
peuvent Stre effectu^s. 

Selon la premiere variante et dans le cas oCi une 
valeur ei a 6t6 attribuee a e, les calculs utilisant la 
valeur e consistent h : 

-choisir un entier aleatoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d-l); 
-mettre en oeuvre une operation priv^e de 
1 ' algorithme dans laquelle une valeur x est obtenue k 
partir d'une valeur y en appliquant la relation 
X = y*** modulo n. 

Selon la premiere variante et dans le cas oia une 
valeur ei a 6t6 attribute k e, les calculs utilisant la 
15 valeur e consistent ^ obtenir, ^ 1' issue d'une 
operation privee de 1 ' algorithme, une valeur x ^ partir 
d'une valeur y et ^ verifier si x* = y modulo n. 

Selon la deuxi%me variante et dans le cas ou une 
valeur ei a 6t6 attribute a e, les calculs utilisant la 
20 valeur e consistent k obtenir, a 1' issue d'une 
operation priv6e de 1 ' algorithme, une valeur x a partir 
d'une valeur y et a verifier d'une part, si x* = y 
modulo p et, d' autre part, si x^ = y modulo q. 

De preference, 1' ensemble E comprend au moins les 
valeurs ei suivantes 3, 17, 2^^+l. 

L' invention concerne 6galement un composant 
eiectronique caract6ris6 en ce qu'il comprend des 
moyens pour la raise en oeuvre du proc6d6 tel que d6fini 
pr6c6demment . 

L' invention concerne encore une carte d puce 
comprenant un composant electronique tel que d4fini. 
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L ' ob j et de 1 ' invention concerne 6galement un 
proc6d6 pour la mise en ceuvre s6curis6e d'un algorithme 
de ■ cryptographie ^ cle publique, ladite cle publique 
etant composee d'un nombre entier n, produit de deux 

5 grands nombres premiers p et q/ et d'un exposant public 
Bf ledit precede consistant a determiner un ensemble E 
comprenant un nombre predetermine de valeurs ei 
susceptibles de correspondre a la valeur de 1' exposant 
public Br les ei 6tant des nombres preiniers, caracterise 

10 en ce qu'il consiste i r6aliser les etapes suivantes 
consistant k: 

a) choisir une valeur ei parmi les valeurs de 
1* ensemble E; 

b) si 5 (p)^5 (q) , tester si la valeur ei choisie 
15 verifie la relation : (l-ei.d) modulo n < ei. Z^^^^^^^^""^ 

ou ladite relation simplifi6e : 
(-ei.d) modulo n < ei. 2^*^"^^^^*^ 

avec 5(p)r 5 (q) et 5 (n) les fonctions donnant ;le 
nombre de bits codant respectivement le nombre p^. le 
20 nombre q et le nombre n; 

sinon, dans le cas ou p et q sont 
* d6sequilibr6s, tester si la valeur e^ choisie verifie la 
relation : 

(1-ei.d) modulo n < ei-a^"*"^ 
25 ou ladite relation simplifi6e : 

(-ei,d) modulo n < e±.2^'^^ 

avec g^ax (5 (p) 5(q) ) ^ si 5 (p) et 5 (q) son t 
connus ou^ dans le cas contrairer avec g^ 5 (n) /2-ht^ ou 
t designe le facteur de desequilibre ou une borne sur 
30 ce facteur; 
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c) si la relation de test appliqu6e a I'^tape 
pr6c6dente est v6rifi6e, alors e = ei, et memoriser e en 
vue de son utilisation dans des calculs dudit 
algorithme de cryptographie, 
5 - si ce n'est pas le cas, reit^rer las etapes 

precedentes en choisissant une autre valeur de ei dans 
1' ensemble E jusqu'a ce qu'une valeur de ei puisse etre 
attribute a e et si aucune valeur de ei ne peut etre 
attribute a e alors constater que les calculs dudit 

10 algorithme de cryptographie utilisant la valeur de e ne 
peuvent pas §tre effectues. 

Le fait de choisir I'ordre des ei corarae celui des 
probabilit§s d' apparitions des exposants publics perraet 
de gagner du temps. Ainsi, on pourra choisir 

15 preferentiellement I'ordre suivant : eo=2^^+l^ ei=3, 
e2=17. 

Dans une variante, on a pour tous les i, ei^2^^+l 
et l'6tape b) est remplacee par une autre 6tape de test 
consistant a : 

20 si 5 (p) =5 (q) , tester si la valeur ei choisie 

v6rifie la relation: (1-ei.d) modulo n < 2^^^^^^^'^*^'^ 
ou ladite relation simplifi§e : 
(-ei-d) modulo n < 2f^<"'/2)+i7 

avec 5(p), 5(q), 5(n) les fonctions donnant le 
25 nombre de bits codant respectivement le nombre p, le 
nombre q et le nombre n; 

sinon, dans le cas ou p et q sont desequilibr^s, 
tester si la valeur ei choisie verifie la relation 
: (1-ei.d) modulo n < 2^*^'' 
30 ou ladite relation simplifiee: 

(-ei.d) modulo n < 2^'*'^'' 
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avec g=maK (5 (p) f5 (q) ) r si 5 (p) et 6 (q) sont connus 
oUr dans le cas contrair&r avec g= 5 (n) ou t 

designs le facteur de dSsequilibre ou une borne sur ce 
factevr. 

Dans une autre variante, I'etape b) est remplac6e 
par une autre etape de test consistant a : 

tester si la valeur ei .choisie verifie la relation 
selon laquelle: 

les premiers bits de poids forts de (l-ei-d) modulo n 
sont nuls ; 

ou ladite relation simplifiee selon laquelle : 
les premiers bits de poids forts de (-ei.d) modulo n 
sont nuls. 

De preference, le test est effectue sur les 128 
premiers bits de poids fort. 

Selon un mode de realisation pref6r6 de 
1' invention, I'algorithme de cryptographie est base .sur 
un algorithme de type RSA en mode standard. ». 

Selon une caract6ristique, une valeur ei ayant 6t6 
attribuee k e, les calculs utilisant la valeur e 
consistent a : 

-choisir un entier aleatoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d~l); 

-mettre en oeuvre une operation privee de 
1' algorithme dans laquelle une valeur x est obtenue ^ 
partir d'une valeur y en appliquant la relation 
X = y^* modulo n. 

Selon une autre caracteristique, une valeur e± 
ayant ete attribuee ^ e, le proc6d6 de 1' invention 
consiste a obtenir, a 1* issue d'une operation priv6e de 
1' algorithme, une valeur x a partir d'uAe valeur y et 
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les calculs utilisant la valeur e consistent ^ verifier 
si X® » y modulo n. 

De preference, 1' ensemble E comprend au moins les 
valeurs ei suivantes 3, 17^ 2^^+l. 
5 L' invention concerne encore un composant 

61ectronique caract§ris6 en ce qu^il comprend des 
moyens pour la mise en oeuvre du proc6de tel qu'il vient 
d'§tre defini. 

L' invention concerne egalement une carte a puce 

10 comprenant un composant electronique tel que defini. 

D' autres caracteristiques et avantages de la 
pr^sente invention ressortiront plus clairement de la 
description qui est faite ci~apr6s, a titre indicatif 
et nullement limitatif. 

^5 La pr6sente invention decrit done diff6rentes 

techniques permettant de valider la valeur d'un 
exposant public e que I'on ne connalt pas a priori. Ces 
techniques peuvent Stre mises en oeuvre par tout 
dispositif ou composant Electronique dote de moyens de 

20 calculs cryptographiques adequats, en particulier une 
carte a puce. 

L'objet de 1' invention est base sur la 
constatation suivante : soit un ensemble E comprenant 
au moins les valeurs de e suivantes : e© = 2^^+l; si = 3 
25 et 62 = 17; cet ensemble E de valeurs couvre environ 95% 
des valeurs des exposants publics couramment utilises 
dans les calculs des algorithmes de cryptographie de 
type RSA. 

La premiere technique proposee par la pr6sente 
30 invention, valable pour le mode standard de 
I'algorithme RSA, consiste alors d'une fagon generale ^ 
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choisir eo et k verifier que e=eo; si eteo alors on 

essaie avec ei; et si e+ei, alors on essaie avec ea- 

II se peut que pour una certaine application 

correspondant aux 5% d'autres cas, e ne soit pas 6gal 
5 ni a eor ni a ei, ni a e2- Aussi^ designe-t-on plus 

generalement la valeur de e par e±. Et la methode 

consiste finaleinent a choisir una valeur ei parmi las e± 

envisages et ^ verifier que e = ej.. 

Plus particuliereitient , la premiere technique pour 
10 retrouver la valeur de e^ valable pour le mode standard 

de 1 ' algorithme RSA, est bas6e sur le raisonnement 

suivant : 

Dans le mode standard, I'algorithme priv6 (met.tant 
en ceuvre une operation de signature ou de d6chif f rement 
15 d'un message) dispose de la valeur du module n et de 
I'iexposant prive d. 

Ainsi, de 1' expression (1), il decoule qu'il 
existe un entier k tel que: 
e.d = 1 + k 4> (n) , 
20 soit : 1-e-d == -k 0(n) = -k. (n-p--q+l) 

En r6duisant les deux cotes de 1' expression modulo 
' n, on obtient : 

1-e.d = k(p+q-l) ("modulo n^ . 

En notant que I'on a tou jours k<e lorsque e est 
25 relativGiaent petite 1' expression precedente peut aussi 
s ' ecrire: 

(1-e-d) modulo n = k(p+q-l). (6) 

Le cote gauche de 1' equation 6 a sensiblement la 
taille du module n, tandis que • le cote droit a sa 
30 taille definie selon 1* expression suivante quand p et q 
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sont 6quilibr6s, c'est-^-dire de mSme taille 5(p)= 
6(q): 

avec 5 (n) , 6 (p) , 5 (q) les fonctions dormant le 
5 norabre de bits codant respect ivement le nombre n, le 
.nombre p et le nombre q. 

Quand p et q ne sont pas de meme taille on 
appelle la fonction g=max (5(p),5(q)), c^est-a-dire la 
fonction donnant le maximum des longueurs de p et q 
10 dans le cas ou 5 (p) et 5 (q) sont connus; sinon^ on 
prend g=^5(n) /2+t, ou t designs le facteur de 
desequilibre ou une home sur ce facteur dans le cas 
contraire. Dans ce cas oCi p et q sont d6s6quilibres, la 
formule de 1^ expression ci~dessus devient : 
15 k. (p+q-l)<e.2^*^ 

En effet, comme n = p.q, si p et q sont 
equilibr6s, alors on a 1' expression p+q<2^^^''^^^^'*'^; a 
1' inverse, si p et q sont d6s6quilibres, alors : 
p+q<2^*^ 

20 Ainsi, pour tous les ei possibles dans 1' ensemble 

si 5(p)=' 5(q), on teste si la valeur ei choisie 
v6rifie la relation pr§determinee suivante : 

(l-ei.d) modulo n < ei. 2 (7) 
sinon, on teste si la valeur ei choisie verifie la 
25 relation predetermin^e suivante : 

(l-ei,d) modulo n < ei.2^'*'^ (7') 
si la relation pr^deterrainee de test appliqu6e est 
verifiee, alors e=ei et on memorise e, 

sinon, ' on choisit une autre valeur de ei dans 
30 1' ensemble E et on reitere les stapes pr6cedentes. 
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Dans une premiere variante, le test pour retrouver 
la val.eur de e: 

(l-ei.d) modulo n < ei- 2*^^^^^^^*'^ ou 

(l-ei.d) modulo n<ei.2^*^ , suivant que p et q soient 
equilibres ou non, peut §tre * remplac§ par le test 
suivant: 

(l-Si-d) modulo n < , 

avec B ^ [max(ei)] 2^^^''^/^^*^ dans le cas ou 5(p)^ 

5(q), 

et B ^ [max(ei)] 2^***^ sinon. 

Dans notre exeitiple, on a E={2^^+l;r 3, 17} • Ainsi, 
pour tous les i, on a ei:^2^^+l et le test precedent peut 
done Stre simplifie de la fagon suivante consistant a 
verifier si: 

(l-ei.d) modulo n < B, avec b=2^^^"^^^^"*"^'' dans le cas 
oiji' 5(p)^ 5(q)r 

et(l-ei.d) modulo n < B, avec B=2^'*"^'' sinbn, 

Dans une deuxifeme variante du test, on peut encore 
simplifier le test pr6c6dent en v^rifiant si les bits 
les plus signif icatifs, par Bxemple les 128 bits de 
poids fort, de (l-ei.d) modulo n sont nuls. 

Enfin, pour cette pr emigre technique, une derniere 
simplification consiste a determiner la relation 
predeterminee pour le test sur les ei en demarrant avec 
la relation suivante: 

(-e.d) modulo n = k(p+q~l)-l 

ci la place de la relation (6) . 

Ainsi, a partir de cette simplification, on 
obtient pour les -relations de test (7, 7'), la 
simplification suivante: 

(-ei.d) modulo n < ei. 2 ^^^"^^^^^^ si 5(p)^^ 5 (q) , 
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et (-ei.d) modulo n < sinon. 

Pour la premiere variante^ on obtient le test 
simplifi6 suivant: 

(-ei.d) modulo n < B, avec b=2^*^"^^^^"^" si 5(p)^5(q) 
5 et B^a^*"" sinon. 

Et, pour la deuxieme variants du test, on obtient 
le test simplifie suivant consistant a verifier si les 
premiers bits de poids fort de (-ei.d) modulo n sont 
nuls . 

Quelle que soit la variante mise en oeuvre, dans sa 
version simplifiee ou non, si le test n^est pas 
verifi6 pour une valeur de ei, on choisit une autre 
valeur pour ei dans 1' ensemble E jusqu'a ce qu'une 
correspondance soit trouvee. 

15 Si pour I'une ou 1' autre des variantes qui 

concernent la premidre technique expos6e ci-dessus, il 
n'existe pas parmi les ei, une valeur telle que e=ei, 
alors il reste ^ constater que les calculs de 
I'algorithme de cryptographie RSA en mode standard 

20 faisant intervenir e ne peuvent §tre effectues. 

Par contre^ lorsque la valeur de e a pu etre 
retrouvee parmi les valeurs ei de 1' ensemble de valeurs 
predeterminees E, par I'une ou 1' autre des variantes, 
on peut alors verifier chaque operation privee (3) de 

25 I'algorithme de cryptographie (consistant en le 
dechif frement d'un message ou la generation d'une 
signature) en s'assurant que la valeur x obtenue ^ 
partir d'une valeur y par application de 1' operation 
priv6e verifie la relation x® = y modulo n. Si ce n'est 

30 pas le cas, le message dSchiffre ou la signature n'est 
pas retourne pour eviter toute cryptanalyse. 



Comme on I'a vu, une fois que l*on connalt e, le 
proc6d6 selon 1' invention peut 6galement s'appliquer ^ 
une contre-mesure^ notarnment contre les attaques de 
type DPA (et SPA) r telle qu'elle a 6t6 d6crite plus 
haut dans la description. Urie telle methode ainsi 
consiste a: choisir un entier aleatoire r; calculer une 
valeur d* telle gue d* = d+r.{e.d-l); mettre en oeuvre 
une operation priv6e de 1 ' algorithme dans laquelle une 
valeur x est obtenue a partir d'une valeur y en 
appliquant la relation x = .y^* modulo n* 

Enfin, la present e invention concerne une deuxifeme 
technique pour retrouver la valeur de 1 ' exposant e 
parmi un ensemble E comprenant un ensemble de valeurs ei 
predetermin6es. Coinme on le verra, cette technique 
s' applique aussi bien dans le cas du mode standard de 
1 'algorithme RSA que dans le cas du mode CRT. 

Cette technique consiste plus particuliferement ci 
am61iorer la methode propos6e dans Dl. Ainsiy les 
etapes suivantes sont mises en ceuvre :• 

a) definir une valeur e = J~J 

ei e B 

telle que B/e± solt xnfSrieur a ^(n) pour tout e± 
appartenant i. O etant la fonctlon Indica trice 

d'^Euler; 

b) appliquer la . valeur 6 dans un calcul 

predetermine ; 

c) pour chaque e^, tester si le resultat dudit 
calcul predetermine est egal a une valeur G/ei: 

- si c'est le cas, alors on attribue la valeur ei a 
e et on memorise e en vue de son utilisation dans des 
calculs de 1' algorithme de cryptographie . / 
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sinon, on constate que les calculs de 
1' algorithms de cryptographie utilisant la valeur e ne 
peuvent §tre effectu^s. 

En mode standard, le calcul predetermine de 
5 I'etape b) consiste k calculer une valeur C telle que : 
C = e.d modulo <I>(n), d 6tant la cle privee 
correspondante de I'algorithme RSA en mode standard 
telle que e.d = 1 modulo 3>(n). 

Par exemple, soit 1' ensemble E = {eo=3, ei=17, 
10 62=2^^+1}, alors e = eo.ei.ez = 3.17.(2"+!). 
Ainsi, avec C = e.d modulo <b{n): 
Si C = 17. {2"+l) = e/eo alors e = eo = 3; 
Si C = 3. (2"+l) = e/ei alors e = ei = 17; 
Si C = 3.17 = e/e2 alors e = ea =(2"+l); 
15 Par 1 ' interraediaire d'un seul calcul modulaire 

permettant d'obtenir la valeur de C, il est done 
possible de retrouver la valeur de I'exposant e parmi 
un ensemble E, en fonction du r6sultat de ce calcul. 

Selon une alternative, le calcul predetermine de 
l'6tape b) consiste h calculer une valeur C telle que: 

C = e.d modulo A(n), d etant la cle privee 
correspondante de I'algorithme RSA en mode standard 
mais calculee dans cette alternative modulo la fonction 
de Carmichael ^ la place de modulo la fonction 
25 indicatrice d'Euler, et done telle que : e.d = 1 
modulo X{n) et A etant la fonction de Carmichael. 

Dans le cas oCi la valeur de e a pu ef fectivement 
etre retrouv6e et m6moris6e, les calculs de 
I'algorithme de cryptographie en mode standard mettant 
en ceuvre la valeur de e consistent k parer les attaques 
par faute et k mettre en place une contre-mesure, 
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notaiimient centre les attaques de type DPA (et SPA) , et 
sont identiques h ceux dfecrits en reference a la 
premiere technique. 

Dans une variante,r lorsque I'algorithme RSA mis. en 
5 CBUvre est en mode CRT^ le calcul predetermine de 
I'etape b) consiste ^ calculer une valeur C telle que: 

C = e.dp modulo (p-1)./ dp etant la cle privee 
correspondante de I'algorithme RSA telle que 
e.dp = 1 modulo (p-1) . 
10 Ou bien encore, telle que : 

C = e.dq modulo (q-1) ^ dq etant la cle priv6e 
correspondante de I'algorithme RSA telle que 
e.dq = 1 modulo (q-1) , 

ou bien les deux, et a prendre le e qui nous est 
15 donn4 par au moins un des deux tests. 

Dans le cas oii la valeur de e a pu ef f ectivement 
etre retrouv6e et memoris6e, les calculs de 
I'algorithme de cryptographie en mode CRT mettant en 
ceuvre la valeur de e consistent a parer les attaques 
20 par faute. 

On peut alors verifier chaque operation privee en 
mode CRT de I'algorithme de cryptographie (consistant 
en le dechif f rement d'un message ou la generation d'une 
signature) en s'assurant que la valeur x obtenue a 
25 partir d'une valeur y par application de 1 ' operation 
privee en mode CRT verifie d'une part, la relation x^ = 
y modulo p et, d' autre part, la relation x® y modulo 
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REVENDICATIONS 



1. Proced§ pour la mise en oeuvre securisee d'un 
algorithme de cryptographie a cle publique, ladite cle 
publique etant composee d'un nombre entier n, produit 
de deux grands nombres premiers p et q, et d'un 

5 exposant public e, ledit proced6 consistant k 
determiner un ensemble E comprenant un nombre 
predetermine de nombres premier's ei susceptibles de 
correspondre i la valeur de 1' exposant public e, 
caracteris6 en ce qu'il comprend les etapes suivantes 

10 consistant a : 



a) calculer une valeur G = J[ J[ ei 

ei € E 

telle que e/ei soit inferieur a (P(n) pour tout ei 
appartenant k Er 0 Stant la fonction indicatrice 
15 d'Euler; 

b) appliquer la valeur e dans un calcul 
pr §d6t ermin§ ; 

c) pour chaque ei^ tester si le resultat dudit 
calcul predetermine est egal a une valeur e/ei: 

20 - si c'est le cas, alors attribuer la valeur ei a e 

et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 

sinon, constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 

25 peuvent §tre effectu^s. 
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2. Proc6d6 selon la revendication l,. caract4ris§ 
en ce que I'algorithme de cryptographie est bas6 sur un 
algorithme de type RSA en mode standard. 

3. Proced6 selon la revendication 2, caract6ris6 
en ce que le calcul pr6d6terniin6 de l'§tape b) consiste 
a calculer une valeur C : 

C = e.d modulo <E>(n)r d etant la cle priv6e 
correspondante de 1' algorithme RSA telle que 
e.d = 1 modulo *(n) et 4> etant la fonction indicatrice 
d'Euler. 

4. Procede selon la revendication 2, caracterise 
en ce que le calcul predetermine de l'6tape b) consiste 
^ calculer une valeur C : 

C = e.d modulo X(n), d etant la cle privee 
correspondante de' 1' algorithme RSA telle que 
e.d = 1 modulo A(n) et K etant la fonction de 
Carmichael . 

5- procede selon la revendication 1, caracterise 
en ce que 1' algorithme de cryptographie est base sur un 
algorithme de type RSA en mode CRT. 

6. Precede selon la revendication 5;. caracterise 
en ce que le calcul predetermine de I'etape b) consiste 
a calculer une valeur C : 

C = e.dp modulo (p-1) , dp etant la cle privee 
correspondante de - 1 ' algorithme RSA telle que 
e.dp = 1 modulo (p-1) . 
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7. Proc6d6 selon la revendication 5, caract^rise 
en ce que le calcul predetermine de l'6tape b) consiste 
k calculer une valeur C : 

C = e.dq modulo (q-1) , dq 6tant la cle privee 
5 correspondante de I'algorithme RSA telle que 
e.dq = 1 modulo (q-1) , 



8. Procede selon la revendication 5, caract6rise 
en ce que le calcul predetermine de I'etape b) consiste 
10 a calculer deux valeurs Ci et Cz telles que : 

Ci = G-dp modulo (p-1) , dp etant la cle privee 
correspondante de I'algorithme RSA telle que 
e.dp = 1 modulo (p-1) , 

C2 = e.dq modulo (q-1) , dq etant la cie privee 
15 correspondante de I'algorithme RSA telle que 
e.dq = 1 modulo (q-1), 

et en ce que I'etape de test c) consiste pour 
chaque ei, a tester si Ci et/ou C2 est egal a la valeur 
e/ei: 

20 - si c^est le cas, alors attribuer la valeur ei a e 

et memoriser e en vue de son utilisation dans des 
calculs dudit algorithme de cryptographie; 

sinon^ constater que les calculs dudit 
algorithme de cryptographie utilisant la valeur e ne 

25 peuvent etre effectues. 



9, Precede selon l^une quelconque des 
revendications 3 ou 4 et selon lequel une valeur ei a 
ete attribuee a e, caracterise en ce que les calcul 
30 utilisant la valeur e consistent ^ : 

-choisir un entier aieatoire r; 



29 



-calculer une valeur d* telle que d* = d+r. (e.d-1); 

-met t re en oeuvre une operation priv6e de 
1 ' algorithme dans laquelle une valeur x es.t obtenue ^ 
partir d'une valeur y en appliquant la relation 
X = y^* modulo n- 

10. Precede salon I'une quelconque des 
revendications 2 a 4 at selon lequel une valeur ei a 6t6 
attribuee a e, caracterise en ce qu'il consiste k 
dbtenir^ ^ 1' issue d'une operation privee de 
1 ' algorithme, une valeur x a partir d'une valeur y et 
en ce que les calculs utilisant la valeur e consistent 
a verifier si x® = y modulo n. 

11* Proc6d6 selon I'une quelconque. des 
revendications 5 a 8, et selon lequel une valeur ei a 
et6 attribute a e, caractferise en ce qu'il consiste k 
obtenir, a 1' issue d'une operation privet de 
1 'algorithme, une valeur x k partir d'une valeur y et 
en ce que les calculs utilisant la valeur e consistent 
a verifier d'une part, si x® = y modulo p et, d' autre 
part, si X® - y modulo q. 

12. Proc^de selon I'une quelconque des 
revendications precedentes, caracterise en ce que 
1' ensemble E comprend au moins les valeurs ei suivantes 
3, 17, 2^^+l. 

13. Composant electronique caracterise en ce qu'il 
comprend des moyens pour la mise en oeuvre du proc6d6 
selon I'une quelconque des revendications ' pr6c§dentes . 
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14. Carte ^ puce comprenant un composant 
electronique selon la revendication 13. 

15. Precede pour la mise en oeuvre securis6e d'un 
5 algorithme de cryptographie A cle publique, ladite cl6 

ptiblique etant composee d'un nombre entier n produit de 
deux grands nombres premiers p et g et d'un exposant 
public e, ledit precede consistant a determiner un 
ensemble E comprenant un nombre predetermine de nombres 
10 premiers ei susceptibles de correspondre a la valeur de 
1' exposant public caracterise en ce qu'il consiste a 
r6aliser les etapes suivantes consistant a: 

a) choisir une valeur ei parmi les valeurs de 
1^ ensemble E; 

15 b) si 5(p}^5(q), tester si la valeur ei choisie 

verifie la relation : (l-ei.d) modulo n < 
ou ladite relation simplifiee : 
(-ei.d) modulo n < ei. 2 ^^^^^^^'^^ 

avec 5 (p) , 5(q) et 5(n) les fonctions donnant le 
20 nombre de bits codant respectivement le nombre p, le 
nombre q et le nombre n; 

sinon, dans le' cas ou p et q sont 
desequilibr^s, tester si la valeur e^ choisie verifie la 
relation : 
25 (l~ei.d) modulo n < ei.2^'*'^ 

ou ladite relation simplifiee : 
(-ei.d) modulo n < ex. 2^'^^ 

avec g==max(5(p) j.5(g)) ^ si 5 (p) et 5(g) sont connus 
ou^ dans le cas contraire^ avec g= 5 (n) ou t 

30 designe le facteur de desequilibre ou une borne sur ce 
facteur; 
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c) si la relation de test appliqu6e ^ I'etape 
precedente est verifi^e, alors e ei^ et m^moriser e en 
vue de son utilisation dans des calculs dudit 
algorithme de cryptographie, 

5 - si ce n'est pas le cas^ reit6rer les Stapes 

pr6c6dentes en choisissant una autre valeur de ei dans 
1 ' ensemble E jusqu'a ce qu'une valeur de ei puisse etre 
attribute a e et si aucune valeur de ei ne peut etre 
attribute a e alors constater que les calculs dudit 

10 algorithme de cryptographie utilisant la valeur de e ne 
peuvent pas fetre effectues- 



16. Proc6d6 selon la revendication 15, caract6ris6 
en ce que pour tous les i, ei^2^^+l et en ce que l'6tape 
15 b) est remplacee par une autre etape de test conjsistant 

si 5(p)=^5(q)r tester si la valeur ei choisie 
verifie la relation: (l-ei. d) modulo n < 2^^^'"*^^^"'^'' , 
ou ladite relation simplifiee : 
20 (-ei.d) modulo n < a^^^^^^^^"'^'' 

avec 5{p), 5 (q) et 5 (n) les fonctions donnant le 
nombre de bits codant respect ivement le nombre p, le 
nombre q et le nombre n; 

sinon, dans le cas ou p et q sont desequilibres, 
25 tester si la valeur ei choisie verifie la relation 
(1-ei.d) modulo n < 2^'*^'' 

ou ladite relation simplifiee: 
(-ei.d) modulo n < 2^^^'^ 

avec g=^max (5 (p) /5(q) ) ^ si 5 (p) et 5 (q) sont connus 

30 ou, dans le cas contraire^ avec g- 5 (n) /2-htr ou t 

I 
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dSsigne le facteur de desequilibre ou une borne sur ce 
facteur. 

17. Proced6 selon la revendication 15^ caract4ris6 
5 en ce que I'etape'b) est remplac6e par une autre etape 
de test consistant a : 

tester si la valeur ei choisie v§rifie la relation 
selon laquelle: 

les prejniers bits de poids forts de (l-ei-d) modulo n 
10 sont nuls ; 

ou ladite relation simplifiee selon laquelle : 
les premiers bits de poids forts de (-ei-d) modulo n 
sont nuls. 

15 18. Proc^de selon la revendication 17, caracterise 

en ce que le test est effectu6 sur les 128 premiers 
bits de poids forts. 

19. Procede selon l*une quelconque des 
20 revendications 15 k 18, caract6rise en ce que 

I'algorithme de cryptographie est base sur un 
algorithme de type RSA en mode standard. 

20. Procede selon I'une quelconque des 
25 revendications 15 a 19, et selon lequel une valeur ei a 

ete attribute k e, caracterise en ce que les calculs 
utilisant la valeur e consistent a : 
-choisir un entier aleatoire r; 

-calculer une valeur d* telle que d* = d+r. (e.d-1); 
30 -mettre en oeuvre une operation priv6e de 

I'algorithme dans laquelle une valeur x est obtenue k 
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partir d'une valeur y en appliquant la relation 
X = y*** modulo n, 

21. Proc6d6 selon . I'une quelconque des 
5 revendications 15 k 19 et selori lequel una valeur ei a 

6te attribute a e, caracterise en ce qu'il consiste a 
obtenir, ^ 1' issue d'une operation priv6e de 
1 ' algorithme, une valeur x ^ partir d'une valeur y et 
en ce que les calculs utilisant . la valeur e consistent 
10 a verifier si x^ = y modulo n. 

22. Procede selon l*une quelconque des 
revendications 15 §i 21, caracteris6 en ce que 1' ensemble 
E comprend au moins les valeurs ei suivantes 3, 17, 

15 2^^+l. 

23. Proced6 selon la revendication 22, caracteris6 
en ce que le choix pr6f6rentiel des valeurs ei parmi les 
valeurs de 1' ensemble E est effectue selon I'ordre 

20 suivant : 2"+l, 3, 17. 

24. Composant electronique caract6ris6 en ce qu'il 
comprend des moyens pour la mise en ceuvre du procede 
selon I'une quelconque des revendications 15 a 23. 

25 

25. Carte a puce comprenant un composant 
electronique selon la revendication 24. 
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